Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

u1bUtI4IVGCc73x5WrLAuFAkEsGaV4066WewaDRr.png

21.03.2018 здійснювалась розсилка повідомлень із шкідливим Javascript.

Приклад повідомлень :

У вкладеному архіві anketa_21_3_2018 (4).zip міститься шкідливий Javascript: anketa_21_3_2018 (4).js. Також, було виявлено поширення повідомлень з таким Javascript, але, вкладених в архів documents (5).zip з назвою шкідливого Javascipt documents (5).js відповідно.
 

Сам Javascript складно обфускований, в декілька етапів.

В результаті аналізу встановлено, що Javascript за допомогою ADODB.Stream записує потік даних з сайту hxxp://chernilis.win/filename94.bin?ff1 у виконуваний файл за адресою C:\Users\<username>\AppData\Local\Temp\62ea.exe. Таким чином, вірус не скачується явно, а одразу створює шкідливий виконуваний файл в директорії \Temp.

Даний вірус є Ursnif(або Gozi), що використовується для викрадання даних. Троян запакований і в процесі ініціалізації інфікує процес explorer.exe. В інфікованому коді пропущені деякі частини PE заголовка(MZ, PE) для ускладнення аналізу.

Далі вірус з’єднується з адресами 35.189.126.95, 119.28.108.16, 86.59.21.38.

MD5 hash:

62ea.exe: a42463a23c46eedbf333a865aef352ef

anketa_21_3_2018 (4).js: 02117b91d46b41ee9440d4bb2cb1da8d

documents (5).js: ede1f7d8678926004d3416a6c65caeca

Рекомендації CERT-UA:

  1. Обмежте можливості користувачів щодо встановлення та запуску небажаних програмних застосувань для всіх систем та служб. Обмеження цих привілегій може запобігти запуску шкідливих програм;

  2. Оновіть антивірусне програмне забезпечення та запустіть сканування;

  3. Уникайте повідомлень вказаного змісту та застережіть персонал від запуску даних Javascript файлів;

  4. Забезпечте моніторинг мережевого обладнання на факт звертання до підозрілих адрес.

Повідомити про інцидент